
Siber güvenlik uzmanları, Google Cloud’un Uygulama Entegrasyonu (Application Integration) hizmetini suistimal eden sofistike bir oltalama (phishing) kampanyasını deşifre etti. Check Point tarafından paylaşılan detaylara göre, saldırganlar Google’ın kendi altyapısını kullanarak güvenlik filtrelerini aşmayı ve dünya genelinde binlerce kurumsal kullanıcıyı tuzağa düşürmeyi başardı.
Güven Filtrelerini Devre Dışı Bırakan Strateji
Saldırının en tehlikeli noktası, e-postaların doğrudan “noreply-application-integration@google[.]com” adresinden gelmesi oldu. Google’ın meşru alan adından gönderilen bu mesajlar; SPF ve DMARC gibi geleneksel e-posta güvenlik kontrollerini hiçbir takılmaya uğramadan geçerek doğrudan kullanıcıların gelen kutularına ulaştı.
Saldırının İşleyişi: Çok Aşamalı Yönlendirme
Aralık 2025’te tespit edilen ve 14 gün süren bu yoğun kampanya, şu adımları izledi:
- Güvenilir Başlangıç: Kullanıcıya “sesli mesaj” veya “dosya paylaşımı” (örneğin: “Q4 dosyası”) temalı, Google formatında hazırlanmış sahte bir bildirim e-postası gönderildi.
- Google Cloud Üzerinden Yönlendirme: E-postadaki bağlantıya tıklayan mağdurlar, önce
storage.cloud.google.comadresine, ardından bir doğrulama (Captcha) aşamasına yönlendirildi. - Güvenlik Araçlarını Atlatma: Bu doğrulama aşaması, otomatik güvenlik tarayıcılarının zararlı içeriği tespit etmesini engellerken gerçek kullanıcıların ilerlemesine izin verdi.
- Veri Hırsızlığı: Son aşamada kullanıcı, sahte bir Microsoft giriş sayfasına yönlendirildi ve buraya girilen tüm kimlik bilgileri saldırganlar tarafından ele geçirildi.
Hedefteki Sektörler ve Kapsam
14 günlük kısa bir sürede 9.394 e-posta ile yaklaşık 3.200 müşteri hedef alındı. Başta ABD, Avrupa ve Kanada olmak üzere küresel ölçekte yayılan saldırıdan en çok etkilenen sektörler şunlar oldu:
- Üretim ve Teknoloji
- Finans ve Profesyonel Hizmetler
- Perakende, Sağlık ve Eğitim
Google’dan Müdahale
Olayın ortaya çıkmasının ardından Google Cloud, Uygulama Entegrasyonu hizmetindeki e-posta bildirim özelliğinin bu şekilde kötüye kullanılmasını engellediğini ve benzer saldırıların önüne geçmek için ek güvenlik önlemleri aldığını duyurdu.





